Se possiedi un iPhone, sarai abituato a quella che sembra una richiesta costante del tuo ID Apple quando effettui acquisti su iTunes, sull'App Store o all'interno delle app. Viene visualizzato un piccolo pop-up, si alzano gli occhi al cielo e si immette diligentemente la password.
Ma cosa succede se quel pop-up non proviene da Apple ed è stato invece progettato per sembrare una richiesta ufficiale nel tentativo degli hacker di rubare le tue credenziali? Questo è il caso presentato dallo sviluppatore di app Felix Krause, che ha scritto un file ripartizione proof-of-concept di pop-up sosia dannosi.
Come osserva Krause, è possibile utilizzare meno di 30 righe di codice per creare una finestra di dialogo di phishing molto convincente. Nelle immagini affiancate, confronta la richiesta della password dell'ID ufficiale di Apple con i propri sforzi. L'idea sarebbe che il codice venga introdotto di nascosto con un'app, in modo che sia effettivamente la notifica dell'app, non l'interfaccia utente di Apple, quella che l'utente vede. Come mostrano le sue immagini, questo può essere progettato da uno sviluppatore in modo che sia identico a un popup Accedi a iTunes Store.
Il problema principale, da parte di Apple, è che iOS rende difficile distinguere tra le fonti di notifica. iOS dovrebbe distinguere molto chiaramente tra l'interfaccia utente del sistema e gli elementi dell'interfaccia utente dell'app, in modo che idealmente sia [...] ovvio per l'utente medio di smartphone che qualcosa sembra non funzionare, afferma Krause.
Vedi le informazioni correlate Il business del malware Prepararsi a un grave attacco informatico, avverte il National Cyber Security Center Equifax è costretto a rimuovere una pagina Web che serve download e malware pericolosi Questo è un problema difficile da risolvere e il browser web lo sta ancora affrontando; hai ancora siti web che fanno sembrare i pop-up come popup di macOS / iOS, in modo che molti utenti pensino [siano] messaggi di sistema [i].
Krause aggiunge alcune potenziali soluzioni al problema, come costringere l'utente a inserire la propria password nell'app delle impostazioni anziché in un popup. È più probabile che accada il suo suggerimento che Apple modifichi il design del suo sistema chiedendo di includere un'icona in più che indica che si tratta di una richiesta ufficiale. Indica il punto esclamativo utilizzato in alcune notifiche push, di seguito.
come faccio a vedere la mia cronologia su google
Per ora, lo sviluppatore nota un paio di passaggi che gli utenti possono intraprendere per prevenire il phishing mobile. Il più semplice è premere il pulsante Home. Se questo chiude l'app e la finestra di dialogo, si è trattato di un attacco di phishing. Se la finestra di dialogo e l'app sono ancora visibili, si tratta di una finestra di dialogo di sistema.
Vale anche la pena notare che questo tipo di attacco dipenderebbe dall'app dannosa che ce la faràil processo di revisione dell'App Store e il codice viene quindi attivato dallo sviluppatore. Apple è generalmente in gamba con questo tipo di cose e agirebbe se venisse rilevata una tale violazione delle sue linee guida. Krause lo fa notare comunquele organizzazioni con cattive intenzioni troveranno sempre un modo per aggirare in qualche modo i limiti di una piattaforma.